El proyecto del Banco de México (Banxico) para robustecer el Sistema de Pagos Electrónicos Interbancarios (SPEI) contra hackeos requiere que las instituciones tengan en su estructura organizacional un área responsable de la seguridad informática.

A principios de agosto, Banxico anunció que modificaría el marco regulatorio del SPEI y el Sistema de Pagos Interbancarios en Dólares (SPID) para incluir normas en materia de ciberseguridad y tecnologías de la información, que deberán cumplir las instituciones financieras.

La Asociación de Bancos de México (ABM) dijo que es necesario precisar las características, facultades y requisitos para formar dicha estructura, a fin de evitar que se superponga a las áreas que existen en la actualidad.

Asimismo, pidió a Banxico confirmar si dicha área debe formar parte del área del oficial de seguridad de la información de las entidades.

"Se solicita a ese banco central proporcionar a las entidades una copia de las propuestas de ajuste al Manual con la finalidad de conocer su alcance y, en caso de ser aplicable, se permita hacer propuestas de ajustes con la finalidad de armonizar procesos", según sus comentarios enviados a la consulta pública del proyecto, denominado Manual de Operación del SPEI.

Por su parte, la Asociación Mexicana de Internet (AMI) solicitó a Banxico mayor precisión con los centros de datos e infraestructura tecnológica requerida para conectarse con el SPEI.

Sugirió considerar que las empresas participantes del SPEI pueden cumplir con los requerimientos de infraestructura tecnológica si contratan servicios en la nube provistos por terceros.

"Precisar la definición para que se refiera únicamente a aquellos sitios empleados por el participante 'para operar con el SPEI', ya que aquellos centros de datos utilizados por el participante para operaciones diferentes no debieran estar cubiertos por esta definición", consideró Julio César Vega, director general de la Asociación, en sus comentarios enviados a la consulta pública del proyecto.

"Con relación a la utilización de herramientas tecnológicas para borrar la información de forma segura, si bien dichas herramientas son en ocasiones proporcionadas por terceros proveedores que tienen las herramientas para el borrado seguro, la responsabilidad del borrado deberá recaer exclusivamente en el participante que contrata los servicios de dicho tercero", agregó.